一、商用密码应用安全性评估介绍

（一）商用密码应用安全性评估的定义

商用密码应用安全性评估（简称密评），是指按照有关法律法规和标准规范，对网络与信息系统使用商用密码技术、产品和服务的合规性、正确性、有效性进行检测分析和评估验证的活动。

《密码法》第二十七条规定：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展。应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

《密码法》第三十七条规定，关键信息基础设施的运营者违反本法第二十七条第一款规定，未按照要求使用商用密码，或者未按照要求开展的，由密码管理部门责令改正，给予警告 ; 拒不改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接负责的主管人员处一万元以上十万元以下罚款。

（二）商用密码应用安全性评估试点机构培育历程

（1）2017 年 4 月，国家密码管理局启动试点。

（2）2018 年 6 月，经过严格的机构遴选 和人员培训考核机制，国家密码管理局认定第一批 27 家密评试点机构，并向推荐省部印发《商用密码应用安全性测评机构目录》。

（3）2019 年 8 月，国家密码管理局印发通知，对16家能力达到优秀级别的机构，允许扩大试点范围至全国。

（4）2020 年 6 月 ，受国家密码管理局委托，密评联委会组织全国密评机构的能力验证。随后，国家密码管理局发布第40号公告发布《商用密码应用安全性评估试点机构目录》（共收录 24 家机构）

（5）2021 年 5 月，受国家密码管理局委托，密评联委会组织第二批机构的能力考核。

（6）2021 年 6 月，国家密码管理局发布第 42 号 公 告，更新《商用密码应用安全性评估试点机构目录》（共收录 48 家机构）。

二、商用密码应用安全性评估法律法规

（一）法律法规要求

《中华人民共和国密码法》

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《商用密码管理条例》

（二）行业政策要求

2019年12月，国务院办公厅下发《国家政务信息化项目建设管理办法》(国办发〔2019〕57号)

2021年12月，国务院印发《“十四五”数字经济发展规划》(国发〔2021〕29号) 2021年03月，教育部印发《教育部关于加强新时代教育管理信息化工作的通知》 2021年03月，交通运输部办公厅印发《关于加快推广应用道路运输电子证照提升数字化服务与监管能力的通知》

2022年01月，中国人民银行市场监管总局银保监会证监会印发《金融标准化“十四五”发展规划》

2022年02月，国务院国有资产监督管理委员会印发《关于加快推进国有企业数字化转型工作的通知》

2022年08月，国家卫生健康委、国家中医药局、国家疾控局下发《关于印发医疗卫生机构网络安全管理办法的通知》（国卫规划发〔2022〕29号）

2022年10月，国家卫生健康委发布《关于加快推进卫生健康行业电子证照建设与应用的指导意见》

2022年11月，国家卫生健康委、国家中医药局、国家疾控局下发《关于印发“十四五”全民健康信息化规划的通知》（国卫规划发〔2022〕30号）

2022年11月，国家能源局印发《电力行业网络安全管理办法》（国能发安全规〔2022〕100号）

（三）密评标准文件

国家标准：GB/T39786-2021《信息安全技术信息系统密码应用基本要求》行业标准：GM/T0115-2021《信息系统密码应用测评要求》

行业标准：GM/T0116-2021《信息系统密码应用测评过程指南》

团体标准：TGDCCA0001-2022《信息系统密码应用方案评估规范》

团体标准：TGDCCA0002-2022《信息系统密码应用方案评估过程指南》

指导性文件：《信息系统密码应用高风险判定指引》

                    《商用密码应用安全性评估FAQ（第二版）》

                    《商用密码应用安全性评估量化评估规则》

三、实施

（一）实施类型

包括规划阶段的方案评估和建设、运行阶段的系统评估

以评促建：密评贯穿密码应用管理过程整个生命周期

以评促改：密评帮助密码应用管理构成闭环

以评促用：密评使得密码应用管理体系得到持续改进

（二）实施流程

三、方案评估

（一）服务介绍

主要针对新建或改造信息系统，密码应用建设方案一般由责任单位组织编写，责任单位编写密码应用建设方案后，密评机构依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》等标准要求，分析密码应用方案是否对信息系统中需要保护的资产、数据提供了体系化、完备、适用的密码保障措施。若信息系统密码应用方案中存在不适用指标，需对不适用指标及其论证材料进行评估，审核不适用的具体原因的合理性，并审核是否存在可满足安全要求并达到风险缓解控制措施的要求。

（二）服务流程

（三）服务成果

《XXX 系统密码应用方案》报告

四、系统评估

（一）服务介绍

密评机构依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》对照通过密评的密码应用方案，核查不适用指标的条件是否成立、风险缓解措施是否落实，从而确定适用和不适用的测评指标，然后从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等方面开展评估，根据信息系统当前的安全状况，给出评估结果并提出有针对性的整改建议，出具信息系统报告。

（二）服务流程

（1）评估准备阶段

5 个工作日

填写商密调研表

准备评估项目涉及联系人清单

签署测评授权书

提前收集被测单位制度

（2）现场评估阶段

5 个工作日

召开项目启动会，明确双方工作

职责和配合内容

分步实施所有测评项

实施工具测试， 了解系统的真实防护情况发掘系统存在的密码应用安全性问题

将现场调阅资料归还并恢复现场

（3）整改反馈阶段

15 个工作日

进行短期整改，如制度补充，配置修改 , 复核整改的情况

（4）分析与编制报告

15 个工作日

分析单项评估记录

分析单项风险、关联合成风险和整体风险

编撰完成密评报告

（三）服务成果

（1）信息系统问题及整改建议

（2）《XXX 系统商用密码应用安全性评估报告》

五、服务优势

（一）行业引领

2018年被国家密码管理局列入商用密码应用安全性测评评估试点机构。

2020年国家密码管理局颁布40号公告里，深圳区域可以面向全国开展“商用密码应用安全性评估”单位。

2021年国家密码管理局颁布42号公告里，深圳区域可以同时面向全国开展”等级保护测评”和“商用密码应用安全性评估”服务的单位。

（二）标准制定

GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》国家标准编制课题参与单位。

GM/T 0115-2021 《信息系统密码应用测评要求》。

GM/T0116-2021 《信息系统密码应用测评过程指南》行业标准编制课题参与单位。

（三）经验丰富

先后参加国家密码管理局及广东省密码管理局、海南省密码管理局、广西 壮族自治区密码管理局、深圳市密码管理局等省级密码管理部门组织的金融和 重要领域密码应用专项检查工作，受委托承担了近 200个信息系统的专项检查工作，涉及金融、公共通信与信息服务、能源、交通、 水利、公共服务、政务、国防科技等领域。

（四）行业协会

深圳网安检测与国家密码管理局商用密码检测中心等6家密评试点机构共同发起成立中国密码学会商用密码应用安全性评估联合委员会。

（五）专业团队

深圳网安检测汇集众多具备网络安全能力输出的复合型人才，项目实施团队完全具备将商用密码应用安全性评估与网络安全等级保护测评及其他合规评估融合实施评测的能力。